CERTFR-2023-ALE-012
Vulnerability from certfr_alerte

[Mise à jour du 22 novembre 2023]

L'éditeur a publié un document [3] le 20 novembre 2023 listant les différents journaux à analyser ainsi que les éléments à rechercher pour identifier une activité pouvant être liée à une compromission.

Par ailleurs, la CISA a publié un avis de sécurité le 21 novembre 2023 [4] indiquant que, comme anticipé le 24 octobre, des campagnes d'exploitation massives sont en cours notamment pour le déploiement de rançongiciels.

Le CERT-FR rappelle que tout équipement qui n'aurait pas été mis à jour doit être considéré comme compromis. Il est impératif de réaliser des investigations sans délai [5] en s'appuyant sur l'ensemble des recommandations fournies dans les différentes publications [2][3][4].

[Mise à jour du 24 octobre 2023] Des chercheurs ont publiés des détails techniques sur la vulnérabilité ce jour. Le CERT-FR anticipe l'apparition de codes d'exploitation publics suivie d'une augmentation des tentatives d'exploitation de cette vulnérabilité.

[Publication initiale]

Le 10 octobre 2023, Citrix a publié un avis de sécurité [1] concernant la vulnérabilité CVE-2023-4966 affectant NetScaler ADC et NetScaler Gateway. L'éditeur lui a donné un score de 9,4 et indiqué qu'elle permet une atteinte à la confidentialité des données.

Le 17 octobre 2023, Citrix a mis son avis à jour pour déclarer avoir connaissance d'exploitations actives de la vulnérabilité CVE-2023-4966.

Le même jour, Mandiant a publié un billet de blogue [2] dans lequel l'entreprise déclare avoir connaissance d'exploitations actives de cette vulnérabilité depuis fin août 2023.  Mandiant précise que l’exploitation de cette vulnérabilité permet à l'attaquant de prendre le contrôle de sessions actives avec le niveau de privilèges des utilisateurs concernés. Cela permet de contourner l'authentification à multiples facteurs et le seul fait d'appliquer la mise à jour ne bloque pas l'accès à l'attaquant.

Sur la base des informations fournies par Mandiant dans son rapport (cf. le rapport détaillé référencé dans son billet [2]), le CERT-FR recommande de réaliser les actions suivantes :

  • appliquer la mise à jour sans délai ;
  • couper toutes les sessions existantes sans délai ;
  • renouveler les mots de passe des comptes déclarés sur les passerelles vulnérables ;
  • mener des investigations pour identifier les actions prises par un potentiel attaquant.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

  • NetScaler ADC et NetScaler Gateway versions 14.1.x antérieures à 14.1-8.50
  • NetScaler ADC et NetScaler Gateway versions 13.1.x antérieures à  13.1-49.15
  • NetScaler ADC et NetScaler Gateway versions 13.0.x antérieures à 13.0-92.19
  • NetScaler ADC 13.1-FIPS versions antérieures à 13.1-37.164
  • NetScaler ADC 12.1-FIPS versions antérieures à 12.1-55.300
  • NetScaler ADC 12.1-NDcPP versions antérieures à 12.1-55.300

Citrix indique que NetScaler ADC et NetScaler Gateway versions 12.1 sont obsolètes.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cul\u003e \u003cli\u003eNetScaler ADC et NetScaler Gateway versions 14.1.x ant\u00e9rieures \u00e0 14.1-8.50\u003c/li\u003e \u003cli\u003eNetScaler ADC et NetScaler Gateway versions 13.1.x ant\u00e9rieures \u00e0 \u202f13.1-49.15\u003c/li\u003e \u003cli\u003eNetScaler ADC\u00a0et NetScaler Gateway versions 13.0.x ant\u00e9rieures \u00e0 13.0-92.19\u003c/li\u003e \u003cli\u003eNetScaler ADC 13.1-FIPS versions ant\u00e9rieures \u00e0 13.1-37.164\u003c/li\u003e \u003cli\u003eNetScaler ADC 12.1-FIPS versions ant\u00e9rieures \u00e0 12.1-55.300\u003c/li\u003e \u003cli\u003eNetScaler ADC 12.1-NDcPP versions ant\u00e9rieures \u00e0 12.1-55.300\u003c/li\u003e \u003c/ul\u003e \u003cp\u003eCitrix indique que NetScaler ADC et NetScaler Gateway versions 12.1 sont obsol\u00e8tes.\u003c/p\u003e ",
  "closed_at": "2024-02-16",
  "content": "## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2023-4966",
      "url": "https://www.cve.org/CVERecord?id=CVE-2023-4966"
    }
  ],
  "initial_release_date": "2023-10-23T00:00:00",
  "last_revision_date": "2024-02-16T00:00:00",
  "links": [
    {
      "title": "[4] Avis de s\u00e9curit\u00e9 de la CISA du 21 novembre 2023",
      "url": "https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-325a"
    },
    {
      "title": "[5] Les bons r\u00e9flexes en cas d\u0027intrusion sur un syst\u00e8me d\u0027information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    },
    {
      "title": "[2] Billet de blogue Mandiant du 17 octobre 2023",
      "url": "https://www.mandiant.com/resources/blog/remediation-netscaler-adc-gateway-cve-2023-4966"
    },
    {
      "title": "Avis CERT-FR CERTFR-2023-AVI-0823 du 11 octobre 2023",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0823/"
    },
    {
      "title": "[3] Billet de blogue NetScaler du 20 novembre 2023",
      "url": "https://www.netscaler.com/blog/news/netscaler-investigation-recommendations-for-cve-2023-4966/"
    }
  ],
  "reference": "CERTFR-2023-ALE-012",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2023-10-23T00:00:00.000000"
    },
    {
      "description": "Publication de d\u00e9tails techniques",
      "revision_date": "2023-10-24T00:00:00.000000"
    },
    {
      "description": "Mise \u00e0 jour : publications de l\u0027\u00e9diteur et de la CISA",
      "revision_date": "2023-11-22T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2024-02-16T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    },
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\\[Mise \u00e0 jour du 22 novembre\n2023\\]\u003c/strong\u003e\u003c/span\u003e\n\nL\u0027\u00e9diteur a publi\u00e9 un document \\[3\\] le 20 novembre 2023 listant les\ndiff\u00e9rents journaux \u00e0 analyser ainsi que les \u00e9l\u00e9ments \u00e0 rechercher pour\nidentifier une activit\u00e9 pouvant \u00eatre li\u00e9e \u00e0 une compromission.\n\nPar ailleurs, la CISA a publi\u00e9 un avis de s\u00e9curit\u00e9 le 21 novembre 2023\n\\[4\\] indiquant que, comme anticip\u00e9 le 24 octobre, des \u003cspan\nstyle=\"text-decoration: underline;\"\u003ecampagnes d\u0027exploitation\u003c/span\u003e\nmassives sont en cours notamment pour le \u003cspan\nstyle=\"text-decoration: underline;\"\u003ed\u00e9ploiement de ran\u00e7ongiciels\u003c/span\u003e.\n\n\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003eLe CERT-FR rappelle que tout \u00e9quipement\nqui n\u0027aurait pas \u00e9t\u00e9 mis \u00e0 jour doit \u00eatre consid\u00e9r\u00e9 comme compromis. Il\nest imp\u00e9ratif de r\u00e9aliser des investigations sans d\u00e9lai \\[5\\] en\ns\u0027appuyant sur l\u0027ensemble des recommandations fournies dans les\ndiff\u00e9rentes publications \\[2\\]\\[3\\]\\[4\\].\u003c/strong\u003e\u003c/span\u003e\n\n\u00a0\n\n\u003cspan style=\"color: #000000;\"\u003e\u003cstrong\u003e\\[Mise \u00e0 jour du 24 octobre 2023\\]\u003c/strong\u003e\n\u003c/span\u003eDes chercheurs ont publi\u00e9s des d\u00e9tails techniques sur la\nvuln\u00e9rabilit\u00e9 ce jour. \u003cspan style=\"text-decoration: underline;\"\u003eLe\nCERT-FR anticipe l\u0027apparition de codes d\u0027exploitation publics suivie\nd\u0027une augmentation des tentatives d\u0027exploitation de cette\nvuln\u00e9rabilit\u00e9\u003c/span\u003e.\n\n\u003cstrong\u003e\\[Publication initiale\\]\u003c/strong\u003e\n\nLe 10 octobre 2023, Citrix a publi\u00e9 un avis de s\u00e9curit\u00e9 \\[1\\] concernant\nla vuln\u00e9rabilit\u00e9 CVE-2023-4966 affectant NetScaler ADC et NetScaler\nGateway. L\u0027\u00e9diteur lui a donn\u00e9 un score de 9,4 et indiqu\u00e9 qu\u0027elle permet\nune atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es.\n\nLe 17 octobre 2023, Citrix a mis son avis \u00e0 jour pour d\u00e9clarer avoir\nconnaissance d\u0027exploitations actives de la vuln\u00e9rabilit\u00e9 CVE-2023-4966.\n\nLe m\u00eame jour, Mandiant a publi\u00e9 un billet de blogue \\[2\\] dans lequel\nl\u0027entreprise d\u00e9clare avoir connaissance d\u0027exploitations actives de cette\nvuln\u00e9rabilit\u00e9 depuis fin ao\u00fbt 2023.\u00a0 Mandiant pr\u00e9cise que l\u2019exploitation\nde cette vuln\u00e9rabilit\u00e9 permet \u00e0 l\u0027attaquant de prendre le contr\u00f4le de\nsessions actives avec le niveau de privil\u00e8ges des utilisateurs\nconcern\u00e9s. Cela permet de contourner l\u0027authentification \u00e0 multiples\nfacteurs et le seul fait d\u0027appliquer la mise \u00e0 jour ne bloque pas\nl\u0027acc\u00e8s \u00e0 l\u0027attaquant.\n\nSur la base des informations fournies par Mandiant dans son rapport (cf.\nle rapport d\u00e9taill\u00e9 r\u00e9f\u00e9renc\u00e9 dans son billet \\[2\\]), le CERT-FR\nrecommande de r\u00e9aliser les actions suivantes :\n\n-   appliquer la mise \u00e0 jour \u003cspan\n    style=\"text-decoration: underline;\"\u003esans d\u00e9lai\u003c/span\u003e ;\n-   couper toutes les sessions existantes \u003cspan\n    style=\"text-decoration: underline;\"\u003esans d\u00e9lai\u003c/span\u003e ;\n-   renouveler les mots de passe des comptes d\u00e9clar\u00e9s sur les\n    passerelles vuln\u00e9rables ;\n-   mener des investigations pour identifier les actions prises par un\n    potentiel attaquant.\n\n\u00a0\n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Citrix NetScaler ADC et NetScaler Gateway",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "[1] Bulletin de s\u00e9curit\u00e9 Citrix CTX579459 du 10 octobre 2023",
      "url": "https://support.citrix.com/article/CTX579459/netscaler-adc-and-netscaler-gateway-security-bulletin-for-cve20234966-and-cve20234967"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.